Manuel Statik Analiz — DiceLoader | Tehdit: YUKSEK

Dosya Kimliği

SHA25661806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e8
Dosya Adıe345rt.vbs (Klavye Rastgele Tuş İsim!)
Boyut237.360 byte (231KB)
String Sayisi4.463

e345rt.vbs: Klavye Rastgele Tuş Dosya Adı

e345rt.vbs
-- "e345rt" = klavyede art arda basılan tuşlar! (e, 3, 4, 5, r, t)
-- Anlamsız, benzersiz, hafızada kalmayan bir isim
-- ".vbs" = VBScript: Windows'ta wscript.exe ile çalışır
-- Klavye karmaşa adı → her sample için farklı → siyah liste atlatma
-- Teslimat: phishing e-postası veya drive-by download

bottomautomobilemean, pilotshotluck, tropicalnosort: Üç Kelime Birleştirme Obfuskasyonu

SEMANTİK OBFUSKASyon: Anlamlı ama anlamsız üçlü İngilizce kelime birleştirmesi fonksiyon isimleri!
Public Function bottomautomobilemean()
    bottomautomobilemean = "AAAKKAcAAAZy8QgAcHL9..."

Public Function pilotshotluck()
Public Function tropicalnosort()
Public Function shownbroughttraffic()
Public Function chosebrassgather()
Public Function tapeseriesskill()
Public Function noddedcorrectlygentle()
Public Function diameterliquidsweet()
Public Function holdfifthfigure()
Public Function herbreakfastplain()
Public Function wayorganizationchange()
Public Function grewridingheld()
Public Function getthereordinary()
Public Function breadflytank()
Public Function wasteshopsurrounded()
Public Function enddealthem()
-- Obfuskayon tekniği: ÜÇLÜ İNGİLİZCE KELİME BİRLEŞTİRME
  - "bottom" + "automobile" + "mean" = semantik anlamsız birleşim
  - "pilot" + "shot" + "luck" = her fonksiyon farklı üçlü
  - "tropical" + "no" + "sort" = sözlükteki gerçek kelimeler
-- Neden bu teknik?
  - AV/sandbox: fonksiyon isimleri "şüpheli" değil → sinyal yok
  - İnsan analistler: isimleri takip etmek zorlaşıyor
  - Regex tabanlı tespit: önemsiz kelimeler filtreden geçiyor
-- Her fonksiyon: tek bir BASE64 parçası döndürüyor
  - Parçalar birleştirilince: .NET BinaryFormatter payload!
  - "AAEAAAD/////" = BinaryFormatter başlangıç imzası
  - "AAAKKAcAAAZy8QgAcHL9" = ikinci parça base64
-- Yüzlerce parça → runtime'da birleştirilip çalıştırılıyor

Base64 .NET BinaryFormatter Payload

finallyfactoryuncle = "AAEAAAD/////AQAAAAAAAA..."
-- "AAEAAAD/////" = .NET BinaryFormatter serilaştırma başlangıcı
-- BinaryFormatter: .NET nesnelerini ikili biçimde serialize eder
-- Payload: VBS'in içine gizlenmiş .NET assembly veya nesne
-- Bu teknik: antivirus'ü atlatmak için payload'ı parçalara böler

IOC

SHA25661806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e8
Dosya Adıe345rt.vbs

DiceLoader — Malware Profile

DiceLoader VBS. e345rt.vbs keyboard random name. Three-word semantic function obfuscation (bottomautomobilemean pilotshotluck). Base64 .NET BinaryFormatter payload.

Malware Type
Loader
Programming Language
VBScript/.NET
C2 Protocol
HTTPS
Target Systems
Kurumsal

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DiceLoader
# SHA256 61806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e
TypeValueNote
sha256 61806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e
Tags
diceloaderdice-loadere345rt-vbs-keyboard-random-filenamebottomautomobilemean-three-english-word-function-name-obfuscationpilotshotluck-tropicalnosort-semantic-obfuscationbase64-dotnet-binaryformatter-payloadvbscript-obfuscation-technique